一、上网行为管理(品牌:深信服、华为、天融信、网康、网神、360 )
功能要求:带“★”为必须满足项
指标项 品牌 ★配置 ★性能 指标要求 深信服、华为、天融信、网康、网神、360 标准1U机架式设备,标配≥6个10/100/1000 Base-T千兆电口,并含2个高速USB2.0接口 流量管理吞吐量≥4Gbps,并发连接数≥200W,每秒新建连接数≥30,000,硬盘容量≥500GB,至少满足500人用户环境。 多路桥接 支持多路网桥功能,实现X进X出,即X路桥接; 支持GRE、L2TP、WLTP、CAACWS、LWAPP、CAPWAP协议下的网络环境(需提供界面截图) 可通过谷歌、火狐浏览器访问设备的日志中心,查看数据 日志中心采用企业级Oracle数据库,访问、日志中心数据必须采用https加密方式访问,避免传输过程被窃取 必须按照公安部发文要求,设备必须具备三权分立功能。 部署 ★协议处理 WEB方式管理 日志中心加密访问 系统管理 ★三权分立 1- 超管无论如何配置都无权看审计日志 2- 审计员必须经过超管授权,审核员确认才能看日志 3- 审核员仅能审核审计员权限是否合法,不能看日志 (需提供官网可以现场打开的证明链接和官网截图证明盖公章) 多名管理员、审计员,根据授权配置局部策略,查看局部日志 支持标准IPSec协议的VPN功能,能够实现隧道建立于配置、隧道状态监视、证书管理等内容。 1. 可与将审计数据上传至云端分析平台,平台可对数据进行分析并具有实分级管理/权限管理 IPSec VPN 云联动 ★云端数据分析平台联动 时展现工作效率等功能。(提供功能界面截图) 2. 云数据分析平台能够架设在互联网与局域网,具有实时展现工作效率、效率追溯、自定义团队、自定义应用与效率的相关性等功能。(提供功能界面截图) ★数据传输防窃听 系统监控 网络活动 流量监控 报警平台 组织架构建立 ★特权用户 终端类型认证 用户管理 自动录入 用户自动分类 所有设备管理及数据访问均在加密状态下完成,确保网络中传输的数据不会被窃听。(需提供官网可以现场打开的证明链接和官网截图证明盖公章) 能够实时提供应用流量排名、网址分类排名、用户流量排名、应用流量趋势、用户流量趋势 能够提供设备流速趋势、用户实时流速、设备实时日志等信息。 能够提供各类报警信息,包括行为合规、内容审计、系统状态、网络流量等 可通过手工方式、LDAP导入、数据库导入(SQL Server、MySQL、ORACLE)、文件导入、IP扫描等方式建立组织架构 支持key免审计、key免管控、key免认证三者的组合(需提供界面截图) 根据不同的终端类型(PC、移动)选择不同的用户认证或者用户识别方式(需提供界面截图) 对于认证或者识别到的新用户自动录入到指定的组织位置 可以为用户添加多个属性,并根据用户的属性(如职位、部门、电话、邮件等)自动进行用户分类,根据分类的结果进行审计与控制. 可识别私接主机个数,并可制定策略以私接主机个数为阀值进行封堵。同时可建立白名单。(需提供界面截图) ★共享接入(防私接) 多认证页面 可以建立多个认证页面,供不同的Web认证策略引用,并可以支持用户完全自定义 可以建立多个认证跳转成功页面,供不同的Web认证策略引用,并可以支持用户完全自定义 能够根据移动终端的IP、VLAN等多维度进行位置定位,并能基于位置进行多认证成功跳转页面 ★移动终端管控 日志查询统计。能够支持至少400多种主流移动应用的精确识别,并且能够对这些应用进行时间、流量、阻塞等多维度控制。(需提供官网可以现场打开的证明链接和官网截图证明盖公章) 能够通过用户行为、内容、协议等,将无线热点可视化,并能根据事先策略,第一时间发现非法热点,并能对这些非法热点进行告警、控制等相关操作,★接入安全 保证网络的接入安全。(需提供官网可以现场打开的证明链接和官网截图证明盖公章) 识别用户设备类型、位置及属性 ★ URL库大小 可识别用户上网设备类型作为“工具”对象,并可作为策略条件。 可将IP或IP段作为“位置”对象,并可作为策略条件。 ≥3600万条URL数据(需提供官网可以现场打开的证明链接和官网截图证明盖公章) 可以建立多个认证页面,供不同的网页策略引用,支持不同用户的不同网页多阻塞跳转页面 被阻塞后会跳转不同的阻塞页面。 支持用户完全自定义(需提供界面截图) 网页管理 网页快照 网页内容告警 网页文件管理 网页文件频率 违规文件告警 多推送页面 ★QQ行为审计 QQ文件审计 Skype审计 百度HI审计 应用审计及控制 ★应用协议库 支持仅留存含违规文字的网页正文快照取证,合法快照不留存,避免过多垃圾日志 正文关键字阻塞同时必须可以告警 可以对网页的文件,进行传输方向、文件名、文件大小、传输频率进行控制管理 可限制用户文件下载频率,x个/每分钟(需提供界面截图) 违规文件下载阻塞同时必须可以告警 可以建立多个Web推送页面,供不同的推送策略引用支持用户完全自定义 可针对QQ账号制定策略,对聊天、登录及登出的行为进行记录与控制(需提供界面截图) 能够对QQ文件传输行为进行审计,并且能够对传输的文件进行备份留存 支持Skype账号、聊天内容、行为审计与控制。 支持skype外发文件内容的审计(需提供界面截图) 支持百度HI账号、内容、行为审计与控制(需提供界面截图) 可以对P2P,网络视频,游戏,炒股,期货,即时通讯,移动应用有独立的分类进行识别控制,协议库数量不低于3000(需提供界面截图) ★应用协议库数量不少于4300个;(需提供官网可以现场打开的证明链接和官网截图证明盖公章) IM外发管理 应用访问管理 时长限额 流量限额 应用告警 告警方式 可以根据应用协议库限制每个人的应用时长 可以根据应用协议库限制每个人的应用流量 可以记录应用行为,并对于阻断的应用可以触发告警 支持邮件及语音双重告警 可审计、控制Oracle, MySql, SqlServer, PostgreSQL等数据库的访问与操作,包括添加、删除、修改、查询等。(需提供界面截图) 数据库审计 ★数据库审计控制 设备必须提供物理硬件bypass按钮,便于设备巡检、设备故障时管理员无★硬件bypass按钮 硬件规格 外置光bypass ★界面bypass 软件升级 修改网络配置无需重启 ★技术支持 升级服务 URL库定期升级 需重启、关机、断电即可恢复网络通畅。支持死机保护、断电保护,在出现上述情况时会自动切换到直通状态,避免断网。(需提供官网可以现场打开的证明链接、截图和相应投标设备照片加盖公章) 光接口线路,设备厂商需提供自主统一品牌的外置光bypass设备,便于统一维护 支持远程登录在界面实现bypass,并可进行切换。(需提供界面截图) 设备的软件版本变化时,支持在线升级。 保障任何版本升级过程中都无需重启设备,网络不中断 必须可以做到在修改任何网络配置后均无需重新启动设备 支持厂商工程师在线的远程协助和故障排查,设备界面提供远程协助开关(需提供界面截图) 支持URL库的自动与手动更新,支持自定义更新时间计划,避开业务高峰; 在界面上可以查看升级历史记录和版本更新; 在官网上有公开的URL库更新情况详细说明; 支持应用协议库的自动与手动更新,支持自定义更新时间计划,避开业务高应用协议库升级 峰。 ★网页分类库每天更新,应用库每2周至少更新一次。(需提供官网可以现场打开的证明链接和官网截图证明盖公章) ★ 为了符合国家公安部的相关政策要求和体现产品先进性,投标产品必须具备以下资质和检测报告。 公安部网络安全保卫局颁发的《网络通讯安全审计专用销售许可证》,投标时提供加盖原厂公章的证书复印件。 中国信息安全认证中心颁发的《中国国家信息安全产品认证证书》,投标时提供加盖原厂公章的证书复印件。 国家版权局颁发的《URL过滤软件著作权证书》,投标时提供加盖原厂公章的证书复印件。 ★产品资质 国家版权局颁发的《互联网内容审计软件著作权证书》,投标时提供加盖原厂公章的证书复印件。 信息产业部计算机安全检测中心出具的《信息产业部计算机安全检测中心产品测试报告》,投标时提供加盖原厂公章的证书复印件。 中国人民解放军信息安全测评认证中心颁发的《军用信息安全产品认证证书》B级,投标时提供加盖原厂公章的证书复印件。 ★厂商资质 国家网络与信息安全信息通报机制技术支持单位,投标时提供加盖原厂公章的证书复印件。 国家知识产权局颁发的专利试点单位证书/资质,投标时提供加盖原厂公章的证书复印件。 国家信息安全漏洞共享平台(cnvd)用户组成员,投标时提供加盖原厂公章的证书复印件。 商用密码定点生产单位,投标时提供加盖原厂公章的证书复印件。 CNCERT网络安全应急服务支撑单位,投标时提供加盖原厂公章的证书复印件。 要求 ★ 投标时需提供3年原厂质保函和原厂授权书原件。
二、VPN 安全网关(品牌:深信服、华为、天融信、网康、网神、360 )
功能模块 品牌 功能指标要求 深信服、华为、天融信、网康、网神、360 标配 ★硬件架构采用先进的多核处理器,操作系统采用专用多核并行安全操作系统软件架构,提供国家版权局多核并行安全操作系统著作权证书加盖厂商公章 千兆SSL VPN硬件平台,1U 机箱,单电源,6个10/100/1000M自适应电口, RJ-45串口管理,建议单台支持最大并发用户数300. 支持IPSec VPN和SSLVPN两种VPN协议,是SSL VPN和IPSec VPN二合一产品 支持国产化中标麒麟操作系统客户端APP,在Linux系统平台下不依赖火狐浏览器,具备独立的SSLVPN客户端。 ★支持配置向导功能,用户能够按照配置向导一步一步的操作,向导结束用户能够完成账号建立、服务发布、正常访问。(要求提供配置截图) 支持动态域名解析,支持希网、花生壳动态域名设置。 ★支持预防'syn flood'攻击,忽略icmp回显请求(不能被ping)。(要求提供配置截图) ★支持通过代理服务器连接,支持标准的http和socks4/5代理协议。 管理员只支持本地和证书两种, AD/LDAP/Radius以及短信认证。(要求提供配置截图) 支持自定义用户登录界面、登录后的页面以及管理页面,能够上传自定logo、应用图标,服务资源列表能够不同的显示方式 支持智能终端访问L3vpn\\proxy\\PPTP\\类隧道模式的应用。 完整性支持 支持B/S和C/S的应用支持单点登录(SSO),并提供加密认证功能。访问多个应用,只须输入一次密码,支持针对不同的访问资源设定不同的SSO用户名和密码。 ★支持自动跳转功能,用户登录后自动弹出默认的应用界面。可自定义应用图标,可自行设置智能终端应用图标、PC端应用图标(提供配置截图) 支持SSL VPN客户端的方式,用户能够设置开机自启动、创建桌面快捷方式 ★支持客户端安全性检查,可以检测客户端进程、文件、注册表、服务、模块、端口、mac地址、系统补丁、操作系统等信息,并且能够检查用户是否安装杀毒软件和防火墙,判断杀毒软件病毒库是否过期,凡是不符合检查规则的,均不允许用户登录访问。(要求提供配置截图) ★支持与360天擎联动,可以检查360天擎进程,并根据是否安装来判断用户接入情况,并能自动弹出IE链接提示客户下载安装(要求提供配置截图) 支持智能终端访问的业务和PC端访问的业务分离,可自主设置具体应用仅允许PC访问或者仅允许智能终端访问。提供配置界面截图 ★必须实现SSL VPN账号与应用系统账号的唯一绑定,VPN资源中的系统只能以指定账号登陆,加强身份认证,防止登录SSL VPN后冒名登录应用系统。(要求提供配置截图) 支持硬件特征码绑定,支持硬盘序列号、MAC地址绑定,特征码信息无需用户手动设置输入可自动生成,支持用户拥有多个硬件特征码信息。用户可自己设定取消绑定,并可以重新绑定,而且可设置重新绑定的时间间隔。支持硬件特征码批量导入导出。(要求提供配置截图) ★支持LDAP用户动态化和策略化,实现组织单元映射、属性映射,并支持成员组反向映射。(要求提供配置截图) ★支持RADIUS双机认证,管理员可定义的Radius 属性组与系统中其他组一样作为授权对象,可实时与RADIUS建立联系,保证用户数据更新,保证认证的高可用性。(要求提供配置截图) ★支持自带CA认证中心,可签发证书,注销证书,支持本地证书批量转换成证书用户,实现用户名密码+证书双因子认证,这样以方便签发证书;支持与第三方CA中心结合认证,能支持第三方CA的证书格式:der、base64编码的crt、cer、p7b、p12、pfx方式,支持第三方的CRL。(要求提供配置截图) 支持网关能够支持证书透传功能,即将证书直接传递给业务系统,可以根据证书中的O、OU、CN作为访问控制项,提供用户对某个业务系统的访问控制权限。 ★支持用户注册审批和证书注册审批,用户可在前台页面注册用户或证书,经过管理员审批后,能以邮件形式通知用户注册成功。用户即可用自己的申请的用户和证书进行登录访问。(要求提供配置截图加盖厂商公章) 可单独对每个应用发布业务进行负载均衡,具有轮询、加权轮询、最少连接数、静态就近性、动态就近性等算法来实现 管理员可分为状态管理员,系统配置管理员,VPN管理员,应用安全管理员,防火墙管理员,IPsec管理员,日志管理员,系统维护管理员,创建管理员可以为其分配相应的管理员权限。 ★支持组管理员, 组管理员由系统管理员设定。组管理员可以进到配置端查看组信息,可以基于此组建立第二级的子组,可选择用户,选择主机绑定策略;设置终端安全策略;设置隧道控制策略;设置访问控制策略。 支持基于用户、用户组分配虚拟IP,并且支持虚拟IP绑定功能。 支持基于SNMPv1\\v2 or v3的设备发现,支持SNMP标准MIB,提供设备状态信息。 支持流量控制功能,可以对组设置流量控制策略,策略中包括:组、服务信息,可以选择多个组,多个服务,流量大小,周期类型包含:天,周,月。 ★能显示在线用户列表,并能把在线用户以列表形式导出,可以导出为txt、HTML文件。(要求提供配置截图加盖厂商公章) 支持用户访问业务的详细日志记录,如账号、密码、提交POST内容 支持显示各模块日志信息,包括SSL VPN、IPSec VPN、防火墙、应用安全、入侵防御等模块;可以用柱型图比较系统日志等级的数量,可以查看用户登录日志和资源访问日志,用户日志可以按照年、月、日、类型查询。(要求提供配置截图) ★支持安全干净桌面,安全桌面后只显示我的电脑、回收站、网上邻居(要求提供配置截图) ★支持安全桌面和本地桌面切换功能,确保一机两用(提供配置截图加盖厂商公章) 文件保险柜 文件保险柜可以Ukey认证,也可以设置密码 具有文件保险柜功能,并能设定其大小 ★文件保险柜并能够支持在线、离线使用(要求提供配置截图加盖厂商公章)